test echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepage

Neu in der DSGVO: Das Recht auf Datenübertragbarkeit

/von

Eine der Neuerungen, die durch die DSGVO auf die für die Datenverarbeitung Verantwortlichen zukommt, ist das sogenannte Recht auf Datenübertragbarkeit. Festgelegt ist dieses Recht in Art. 20 DSGVO.

Demnach hat die betroffene Person „das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln“. Dies soll immer dann gelten, wenn die Grundlage der Datenverarbeitung die Einwilligung oder ein Vertrag ist und die Daten automatisiert verarbeitet werden. Für nur in Papierform vorgehaltene Daten gilt dies demnach nicht.

Die Regelung in der Theorie…

Der Gesetzgeber stellt sich die Datenübertragbarkeit so vor, dass die betroffene Person mit möglichst wenig Aufwand, seine Daten in elektronischer Form von seinem Anbieter erhält (beispielsweise per Download). Genau so einfach sollte dann der Upload der Daten zu einem neuen Anbieter erfolgen können. Möchte als beispielsweise eine betroffene Person von Facebook zu einem anderen Anbieter wechseln, so sollte dies gemäß dieser gesetzlichen Regelung künftig problemlos möglich sein.

In Absatz 2 dieses Artikels definiert der Gesetzgeber sogar noch eine weitere Vereinfachung der Datenübertragung für die betroffene Person. So soll die betroffene Person auch das Recht haben, „zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden“. Allerdings stellt der Gesetzgeber diese Forderung unter den Vorbehalt der technischen Machbarkeit.

…und wie sieht die Praxis aus?

Den direkten Transfer von einem Anbieter zu einem anderen Anbieter können die Verantwortlichen also mit der Begründung ablehnen, dass dies aus technischen Gründen nicht machbar ist. Aber auch der Prozess, wie der indirekte Transfer der Daten vom bisherigen Anbieter an die betroffene Person und von dort zum künftigen Anbieter erfolgen soll, ist vom Gesetzgeber nicht geregelt. Damit dies ohne erheblichen Anpassungsaufwand möglich ist, müssten sich die unterschiedlichen Anbieter auf ein gemeinsames Format einigen. Genau das ist aber vom Gesetzgeber gar nicht gefordert. Lediglich strukturiert, gängig und maschinenlesbar hat das Format zu sein.

Da die meisten Anbieter kein Interesse daran haben werden, dass betroffene Personen problemlos zu anderen Anbietern wechseln können, wird abzuwarten sein, wie diese Regelung in der Praxis durchgesetzt werden kann.

Umfang der Datenübermittlung

Die Artikel 29 Gruppe hat mit dem WP 242 eine ausführliche Stellungnahme zur Auslegung des in der DSGVO definierten Rechts auf Datenübertragbarkeit veröffentlicht. Demnach wird die gesetzliche Formulierung, dass die „sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat“ zu übermitteln sind sehr umfassend ausgelegt. Auch alle entstandenen Roh- und Metadaten sollen demnach in der Übermittlung enthalten sein. Am Beispiel eines E-Mail Providers wird beispielsweise ausgeführt, dass nicht nur der Inhalt der E-Mail zur Verfügung zu stellen ist, sondern dass auch der gesamte Header, der Angaben zum Transportweg der E-Mail enthält (beispielsweise IP-Adressen, DNS-Namen der beteiligten Server) zu übermitteln ist.

Bußgelder

Auch wenn derzeit noch nicht klar ist, wie das Recht auf Datenübertragbarkeit in der Praxis gestaltet werden kann, drohen auch hier ab dem 25.05.2018 Bußgelder. Der Gesetzgeber sieht für Verstöße gegen Artikel 20 DSGVO Bußgelder von bis zu 20 Mio. EUR oder 4% des weltweit erzielten Jahresumsatzes vor.

Speichern Sie Kundendaten, die unter das Recht auf Datenübertragbarkeit fallen könnten? Sprechen Sie uns an? Gerne untersützen wir Sie bei der weiteren Analyse und der datenschutzkonformen Umsetzung der Verfahren.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
überprüfung tom ransomware trojanerÜberprüfung, Bewertung und Evaluierung der TOM – es wird ernst
bußgeld dsgvoEin Bußgeldrechner für die DSGVO: Wird es berechenbar(er) und teu(r)er?
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigertMeldepflichten bei Datenpannen unter der DSGVO
sicherheitsrisiko mitarbeiterMitarbeiter – ein unterschätztes Sicherheitsrisiko für Datenschutz
Teilnehmerlisten im Kontext des BDSG
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoVerpflichtung auf die Vertraulichkeit nach der DS-GVO